>NAT, iptables, core 2.4.
>Хочу открыть пару портов для выхода в инет (http, icq, ftp)
>
>Пишу правило:
>
[skip]
>
>Думаю что мои правила составлены не правильно.
Действительно, неправильно... Согласен. Но не совсем понимаю вопрос,если дело идет о _твоем_ выходе в инет.
1. к примеру, пбращение к http идет не _с_ 80 порта, а _на_ 80 порт.
Таким образом, требуется разрешать а) output б) source = твоя машина (можно добавить для паранойи sport = непривегированые порты, хотя это вообще-то излишне)
2. требуется разрешить ответ, при этом только от того хоста, на который обращались. Это делается разнешением на input (опять таки) соединений с состоянием established, related.
Для прочих аналогично. Это если касается выхода этой машины в инет.
Для выхода в инет локалки правила меняются на forward с поправками
в 1.- разрешить forward с интерфейса in-iface= интерфейс в локальной сети (и включить маскарад, а еще лучше SNAT), все прочие правила одинаковы
в 2.- только заменить input на forward
P.S. А если хочешь предоставлять сервисы наружу, то все (почти) правильно, только цепочка-то должна быть input...
И вообще, х.з., чего ты хочешь добиться - по твоему посту это непонятно
|